Nowa generacja malware – LilyJade

dodał 18 maja 2012 o 15:41 w kategorii Top, Złośniki  z tagami:
Nowa generacja malware – LilyJade

Przedstawiamy Wam nowy kierunek na rynku złośliwego oprogramowania. Wyobraźcie sobie oprogramowanie, którego nie szuka żaden antywirus. Które samo się rozmnaża za zgodą użytkownika. Które nie posiada plików wykonywalnych (więc Windows odpada). To właśnie LilyJade.

Choć LilyJade znajduje się w sprzedaży od początku marca tego roku, to pierwszy jego opis pojawił się zaledwie kilka dni temu. Na czym polega wyjątkowość tego złośliwego oprogramowania, określonego przez Kasperskiego jako Malware 2.0?

Po pierwsze, stworzone zostało w postaci wtyczki do przeglądarki. Autor, Dru Mundorff, wykorzystał w swoim projekcie nową platformę Crossrider, umożliwiającą łatwe tworzenie kodu działającego jednocześnie jako wtyczka dla Internet Explorera, Chroma i Firefoksa. Po drugie, LilyJade stosuje niezbyt do tej pory popularną metodę przynoszenia zysków swojemu twórcy – w zainfekowanych systemach w trakcie przeglądania przez użytkownika stron www podmienia linki do systemów reklam internetowych takich jak AdSense. W ten sposób wszystkie przychody z kliknięć w reklamy trafiają do właściciela danej kopii programu.

 

Platforma Crossrider

 

Jak rozmnaża się LilyJade? Ten mechanizm jest dość prosty. Złośliwa wtyczka publikuje linki do „śmiesznych filmów” na Facebooku osoby zarażonej. Inni użytkownicy chcący zobaczyć film proszeni są o instalacje odpowiedniej wtyczki. Aby było ciekawiej, zdaniem autora każda osoba instaluje wtyczkę dobrowolnie i jest ostrzegana o sposobie jej funkcjonowania – co z punktu widzenia prawa wydaje się to sprytnym manewrem. Co więcej, autor twierdzi, iż jego program przynosi korzyści użytkownikom, ponieważ z zainfekowanego przez siebie komputera usuwa konkurencję – w tym boty takie jak Darkcomet, Cybergate, Blackshades czy Andromeda. Sam kod, by zapobiec wykryciu przez antywirusy, jest wg autora automatycznie aktualizowany co 6 godzin.

 

Panel zarządzania LilyJade

 

Wersja instalacyjna LilyJade kosztuje sporo, bo tysiąc dolarów (czasem w promocji można dostać swój egzemplarz za $400). Interes może być jednak opłacalny dla cyberprzestępców, ponieważ w internecie można zobaczyć przykłady panelu sterowania LilyJade, wskazujące na infekcje idące w tysiące sztuk. Wg autora już 100 zainfekowanych osób daje przychód w wysokości ok. 50 centów na godzinę.

 

Przychody jednego z właścicieli bota, sieć 50 tysięcy infekcji

 

LilyJade oprócz rozsiewania swojej kopii umożliwia również swojemu właścicielowi wysyłanie dowolnego innego linka, a więc także instalowanie dużo bardziej złośliwego oprogramowania. Autorzy są tak pewni tego, iż trudno będzie im udowodnić przestępstwo, że założyli własne forum wsparcia użytkowników oraz udzielają wywiadów dziennikarzom. Zagrożenie zauważył w końcu Facebook, który wystosował do autorów LilyJade żądanie zaprzestania ich działalności – Ci jednak nie zamierzają zamknąć tak dochodowego interesu. Z ciekawością będziemy obserwować, jak skończy się ta sprawa.